ssh隧道的妙用

场景说明：
A主机和B主机在同一个园区网，A主机可以出公网，B主机不可以出公网。渗透工程师已经拿下A主机控制权。

一、如何在外网访问到B主机

方案：ssh本地端口映射
背景：当我们拿下A主机之后想和B主机通信，可以选择直接在A主机上进行操作，但这样会留下相关日志，增加了被发现的风险。此时可以通过ssh隧道直接在本机与B主机进行通信，既方便又不会留下痕迹。
工作原理：与A主机建立SSH隧道，并在本地侦听一个空闲端口，并将之映射至B主机指定端口即可。此时访问本地侦听的端口，流量实质将导入B主机指定端口，从而实现安全的访问B主机。

隧道建立命令： ssh -fNg -L 7001:172.20.163.135:22 root@172.20.163.136 -p 22
-L: 本地端口转发
-f: 后台运行进程
-N: 不执行登录shell
-g: 复用访问时作为网管，支持多主机访问本地侦听端口(即：如果不加此选项则7001端口只在127.0.0.1接口上侦听，加上此选项则7001端口在0.0.0.0接口上侦听)
7001: 在本地开启侦听的端口
172.20.163.135:22 : B主机及要连的端口
172.20.163.136: A主机

结果验证：ssh root@127.0.0.1 -p 7001 ====>此时将直接连到B主机的22端口

二、拿下B主机后如何让B主机出公网

背景：拿下B主机后想让B和公网主机C通信，怎么办？
方案： ssh远程端口映射
工作原理：与A主机建立SSH隧道，并在A主机侦听一个空闲端口，将此端口映射至C主机指定端口即可。此时B主机访问A主机侦听的端口，流量实质将导入C主机指定端口，从而实现B主机连接公网上任何一台主机。

隧道建立命令： ssh -fNg -R 7001:202.2.20.2:80 root@172.20.163.136 -p 22
-R: 远程端口转发
-f: 后台运行进程
-N: 不执行登录shell
-g: 复用访问时作为网管，支持多主机访问本地侦听端口(即：如果不加此选项则7001端口只在127.0.0.1接口上侦听，加上此选项则7001端口在0.0.0.0接口上侦听)（注意：不知道为什么远程端口转发时加参数g和没加一个样）
7001: 在A主机开启侦听的端口
172.20.163.135:22 : C主机及要连的端口
172.20.163.136: A主机

结果验证：ssh root@127.0.0.1 -p 7001 ====>此时将直接连到C主机的22端口

三、以上隧道只能建立点到点的隧道，如何建立点到多的隧道             =====> 亦是最简单的fanqiang方法(国外网络看成是远程内网)

背景：想建立一条隧道就可以访问远程内网里一片设备
方案：ssh动态端口映射
工作原理：与A主机建立SSH隧道，并在本地侦听一个空闲端口。此时公网主机设置socks代理为渗透者IP及其侦听的端口，流量实质将通过此端口流向远程内网任意地址。A主机将自动判断过来的流量该去哪。

隧道建立命令： ssh -fNg -D 7001 root@172.20.163.136 -p 22
-D: 动态端口转发
7001: 本地启动的socks代理端口

结果验证： 设置代理后浏览器访问'http://内网主机',即可访问其内部系统